|
|||||||
|
|
|
 |
|
|
Strumenti |
29-08-2005, 13:43
|
#1 |
|
Senior Member
Iscritto dal: Jul 1999
Città: Gemona del Friuli (UD)
Messaggi: 1926
|
Piccola consulenza su questi 3 virus....
Esistono delle utilty specifiche per eliminare questi 3 virus oppure basta un normale antivirus aggiornato?
i virus sono: W32/Funlove.4096 W32/Funlove.4099 Opaserv.Q.Worm grazie 
__________________
Manoscritto di S.M. il re Vittorio Emanuele III ad Alcide De Gasperi: "Signor Presidente, lascio al popolo italiano la collezione di monete che è stata la più grande passione della mia vita". |
|
|
|
29-08-2005, 14:06
|
#2 |
|
Senior Member
Iscritto dal: Sep 2004
Città: Prov. Novara/Palmdale
Messaggi: 5228
|
..A vedere così,su 2 piedi,tools specifici sembra che non ce ne siano...I primi 2 sembrano essere abbastanza carognosi...il terzo un poco meno..Ho dato un'occhiata rapida...Probabilmente un buon antivirus aggiornato dovrebbe riuscire ad eliminarli..se no c'è sempre il buon Hijackthis che può aiutare
 ..ciao..
|
|
|
|
|
29-08-2005, 16:04
|
#3 |
|
Senior Member
Iscritto dal: Sep 2004
Città: Deir el-Bahari - Luxor Location desiderata: Nantucket (Maine - USA) Nome horo: Ka nekhet kha m uaset
Messaggi: 23966
|
Una cosa che ho sempre odiato è questa: una ditta trova un virus e gli mette un nome, un'altra gliene mette un altro, ecc.
La Symantec ha una pagina con dei tool di rimozione (http://securityresponse.symantec.com...ols.list.html). Potrebbe essere che uno dei tuoi ci sia ma abbia un nome diverso. |
|
|
|
|
29-08-2005, 17:05
|
#4 | |
|
Senior Member
Iscritto dal: Sep 2004
Messaggi: 6387
|
Quote:
|
|
|
|
|
|
29-08-2005, 17:25
|
#5 | |
|
Senior Member
Iscritto dal: Jul 1999
Città: Gemona del Friuli (UD)
Messaggi: 1926
|
Quote:
Evidentemente no, altrimenti non postavo qui.
__________________
Manoscritto di S.M. il re Vittorio Emanuele III ad Alcide De Gasperi: "Signor Presidente, lascio al popolo italiano la collezione di monete che è stata la più grande passione della mia vita". |
|
|
|
|
|
29-08-2005, 17:28
|
#6 |
|
Senior Member
Iscritto dal: Sep 2004
Messaggi: 6387
|
beh mi sa di no
xche ho già trovato in 3 secondi il primo virus http://www.pandasoftware.com/virus_i...s=25844&sind=0 secondo http://securityresponse.symantec.com...love.4099.html |
|
|
|
|
29-08-2005, 17:32
|
#7 |
|
Senior Member
Iscritto dal: Sep 2004
Messaggi: 6387
|
|
|
|
|
|
29-08-2005, 17:35
|
#8 | |
|
Senior Member
Iscritto dal: Jul 1999
Città: Gemona del Friuli (UD)
Messaggi: 1926
|
Quote:
Bravo, pero' io cercavo le utility per toglierlo non le informazioni sui virus. Devo ammettere che cmq la prima utility per togliere il Funlove 4096 non l'avevo nemmeno vista. Grazie
__________________
Manoscritto di S.M. il re Vittorio Emanuele III ad Alcide De Gasperi: "Signor Presidente, lascio al popolo italiano la collezione di monete che è stata la più grande passione della mia vita". |
|
|
|
|
|
29-08-2005, 17:36
|
#9 | |
|
Senior Member
Iscritto dal: Sep 2004
Messaggi: 6387
|
Quote:
|
|
|
|
|
|
29-08-2005, 17:37
|
#10 |
|
Senior Member
Iscritto dal: Jun 2005
Città: in lombardia
Messaggi: 8414
|
|
|
|
|
|
29-08-2005, 17:38
|
#11 | |
|
Senior Member
Iscritto dal: Jul 1999
Città: Gemona del Friuli (UD)
Messaggi: 1926
|
Quote:
Giusto! trovato adesso! Per il terzo pero' non c'e'. Dai, non umiliarmi ancora 
__________________
Manoscritto di S.M. il re Vittorio Emanuele III ad Alcide De Gasperi: "Signor Presidente, lascio al popolo italiano la collezione di monete che è stata la più grande passione della mia vita". |
|
|
|
|
|
29-08-2005, 17:39
|
#12 |
|
Senior Member
Iscritto dal: Sep 2004
Messaggi: 6387
|
che c'entra mc afee....
si cercava dei utility
|
|
|
|
|
29-08-2005, 17:39
|
#13 | |
|
Senior Member
Iscritto dal: Jul 1999
Città: Gemona del Friuli (UD)
Messaggi: 1926
|
Quote:
Panda Titanium Av. 2005
__________________
Manoscritto di S.M. il re Vittorio Emanuele III ad Alcide De Gasperi: "Signor Presidente, lascio al popolo italiano la collezione di monete che è stata la più grande passione della mia vita". |
|
|
|
|
|
29-08-2005, 17:40
|
#14 | |
|
Senior Member
Iscritto dal: Sep 2004
Messaggi: 6387
|
Quote:
per il 3° devo vedere un attimo
|
|
|
|
|
|
29-08-2005, 17:41
|
#15 |
|
Senior Member
Iscritto dal: Sep 2004
Messaggi: 6387
|
ecco per l'ultimo
http://www.sophos.com/virusinfo/anal...2opaservq.html se non trovi tramite google provate usare altavista
|
|
|
|
|
29-08-2005, 17:46
|
#16 | |
|
Senior Member
Iscritto dal: Jul 1999
Città: Gemona del Friuli (UD)
Messaggi: 1926
|
Quote:
Pero' qua non c'e' l'utility specifica vero? da quello che ho capito devo trovare l'utility per L'Opaserv.A, almeno Sophos mi pare dica cosi'.
__________________
Manoscritto di S.M. il re Vittorio Emanuele III ad Alcide De Gasperi: "Signor Presidente, lascio al popolo italiano la collezione di monete che è stata la più grande passione della mia vita". |
|
|
|
|
|
29-08-2005, 17:51
|
#17 |
|
Senior Member
Iscritto dal: Sep 2004
Messaggi: 6387
|
si è cosi sul recovery spiega solo in generale
|
|
|
|
|
29-08-2005, 17:54
|
#18 |
|
Senior Member
Iscritto dal: Sep 2004
Messaggi: 6387
|
per l'ultimo
Local Infection When run on the victim machine, the worm copies itself as %WinDir%\ScrSvr.exe. To avoid being run twice the worm creates a mutex "ScrSvr31415" (if such mutex already exists the worm process exits). The following Registry key is set to hook system startup: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "ScrSvr" = %WinDir%\ScrSvr.exe The worm attempts to access a remote URL (unavailable at the time of writing). Strings within the worm suggest that it is capable of downloading updates from this site. Remote Infection Significant NetBIOS traffic (UDP) is caused by this worm. One of the early indications of this worms activity was the increase in port 137 hits on firewalls. This traffic is caused by the worm issuing WINS queries across contiguous IP ranges. The spreading mechanism observed in testing is outlined below: * the worm issues WINS query (to retrieve NetBIOS name). * the worm then tries to establish a NetBIOS session to the remote machine. * if successful the worm attempts to spread via connecting to \\%machinename%\C using SMB (Server Message Block) commands (ie. requiring open 'C' share on remote machine). This worm can infect password-protected shares if the security patch is not installed. Please Note: if this patch is installed, but the share is not password protected, the worm will still spread to the machine. * In spreading, the worm attempts to copy itself to \Windows\ScrSvr.exe on the remote machine. * A Run key is added to WIN.INI on the remote machine, to run the worm at startup. For example: Run= 'C:\WINDOWS\SCRSVR.EXE' The worm attempts to spread to all machines on the local subnet in the above manner, (working through the subnet increasing the last octet of the IP address for each WINS query). Subsequently, in testing the worm was observed to follow the above mechanism for machines in the IP range A.B.(C+1).0 to A.B.(C+1).255 (where A.B.C.x is the local subnet). Following that, the mechanism was repeated continually, with an apparently random starting IP address (for example 16.13.145.5 -> 16.13.145.255). Once the final octet is incremented to 255, a new initial starting IP is queried. Presence of any of the following: * %WinDir%\ScrSvr.exe * C:\SCRSDAT.IN, C:\SCRSDAT.OUT (local infection) * C:\TMP.INI (when machine remotely infected) Existence of either of the following Registry keys: * HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "ScrSvr" = %WinDir%\ScrSvr.exe * HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "ScrSvrOld" = (filename executed, if not %WinDir%\ScrSvr.exe) Considerable port 137 traffic (UDP) originating from infected machine(s). |
|
|
|
|
29-08-2005, 19:03
|
#19 |
|
Senior Member
Iscritto dal: Sep 2004
Città: Prov. Novara/Palmdale
Messaggi: 5228
|
[email protected] lavoro..sto leggendo ora...
|
|
|
|
|
30-08-2005, 10:39
|
#20 |
|
Senior Member
Iscritto dal: Jul 1999
Città: Gemona del Friuli (UD)
Messaggi: 1926
|
Veramente un ottimo lavoro...
complimetni
__________________
Manoscritto di S.M. il re Vittorio Emanuele III ad Alcide De Gasperi: "Signor Presidente, lascio al popolo italiano la collezione di monete che è stata la più grande passione della mia vita". |
|
|
|
|
|
| Strumenti | |
|
|
Tutti gli orari sono GMT +1. Ora sono le: 02:21.
